生成式人工智能与网络安全运营：标准化的重要性

随着网络威胁变得越来越复杂和多样化，安全运营中心 (SOC) 需要利用各种工具和技术来检测、预防和应对攻击。据估计，大型企业拥有100 多种不同的安全工具。这带来了互操作性的挑战：不同的网络安全产品和系统如何高效、有效地协同工作？如今，人们对生成式人工智能改变网络安全运营的潜力感到非常兴奋——但如果我们还没有首先解决互操作性问题，仅靠生成式人工智能能有所帮助吗？如果我是一颗神奇的 8 球，我会说“前景不太好”。

生成式人工智能在安全运营中的作用

对于那些可能与世隔绝的人来说，生成式人工智能是人工智能的一个分支，它专注于从现有数据中学习，对问题和任务产生智能的自然语言响应。它拥有大量的网络安全应用，从协助威胁猎手检索数据以进行持续调查，到提供实时洞察以指导漏洞管理工作流程。生成式人工智能有可能通过多种方式改进 SecOps。这些包括：

增强威胁识别能力。生成式人工智能可以帮助分析师更快地发现攻击，然后更好地评估其规模和潜在影响。例如，它可以帮助分析师更有效地过滤事件警报，拒绝误报。生成式人工智能还可以根据可用数据和上下文生成假设、查询和攻击指标，帮助检测和追踪威胁。
改善补救和恢复。生成式人工智能可以根据过去事件中经过验证的策略提供补救和恢复说明，帮助分析师遏制、消除和从攻击中恢复。生成式人工智能还可以帮助自动执行某些补救和恢复任务，例如管理补丁、脚本或配置更改以修复漏洞或恢复系统。
提高意识和教育。生成式人工智能可以帮助团队提高意识，并教育利益相关者了解网络风险和最佳实践。例如，它可以根据对组织事件和安全态势的分析生成报告、摘要和建议。它还可以生成培训材料、模拟和场景，以帮助用户和员工学习如何预防和应对网络攻击。

生成式人工智能在安全运营中的局限性和风险

生成式人工智能是网络安全运营的强大工具，但它并不是灵丹妙药。它有一些严重的缺点和挑战，尤其是在与其他网络安全产品和系统交互时。其中一个主要问题是它对 API 和数据模型的依赖。

API 是使不同产品或系统能够进行通信和交换数据的接口。数据模型是定义信息组织和表示方式的结构。API 和数据模型对于生成式 AI 访问、理解和使用生成输出所需的数据都至关重要。但是，API 和数据模型通常不是标准化的，也不在不同的网络安全产品和系统中保持一致。它们在设计、功能、格式和协议方面可能有所不同。此外，即使 API 文档是公开的，也很少有完善的文档。这意味着生成式 AI 可能无法学习如何与某些产品或系统交互。如果它不理解或无法找到并使用供应商的 API 和数据模型，它可能会产生不准确或不兼容的输出。

让我们考虑这个例子：如果生成式 AI 不知道如何使用 SIEM 的 API，它可能无法检索相关数据 - 或者更糟的是，如果它不理解数据模型，它可能会不知不觉地生成错误或不相关的警报。同样，如果生成式 AI 不遵循其 API，它可能无法使用 SOAR 系统自动执行补救任务 - 或者如果它不遵守 SOAR 数据模型，它可能会创建有缺陷或有害的补丁或脚本。

这些问题可能会损害网络安全运营的有效性，并引入错误和漏洞。因此，生成式人工智能需要与现有的非标准化网络安全产品和系统进行仔细的集成和协调，这可能是昂贵而复杂的。此外，生成式人工智能模型需要不断更新和调整，以跟上网络威胁和技术的快速发展，当这些更新改变数据模型和 API 时，这变得更具挑战性。

安全操作的标准和互操作性

网络安全互操作性是一项重大挑战，导致 SecOps 支离破碎、各自为政且效率低下。结果如何？可见性、覆盖范围和响应能力下降。Ponemon Institute 最近的一项研究证实了这些问题 - 发现 53% 的组织使用超过 25 种不同的网络安全产品，65% 的组织表示这些产品之间缺乏互操作性对其安全态势构成重大挑战。导致互操作性问题的因素主要分为三类：

网络安全产品和系统的多样性。网络安全运营依赖于多种工具和技术，例如安全信息和事件管理 (SIEM)、安全编排、自动化和响应 (SOAR)、扩展检测和响应 (XDR) 和威胁情报平台 (TIP)。这些产品和系统具有不同的功能、特性、架构和协议，因此很难相互集成和通信。
缺乏共同的标准和框架。对于网络安全产品和系统的设计、开发、部署和运营方式，目前尚无统一的共识。目前已有一些努力来建立网络安全标准和框架，例如 OASIS STIX、TAXII 和 CACAO 标准，以及 OCSF 和 Sigma 项目等社区努力，但大多数这些标准并未得到广泛采用，而且在采购过程中很少要求提供支持，从而阻碍了采用曲线。
网络威胁和技术的快速发展。网络安全是一个动态且快速变化的领域，新的威胁和技术不断涌现和发展（我相信您几乎从每个网络安全供应商那里都听说过这个 - 这是行业中唯一不变的）。这要求安全运营团队不断更新和调整其产品和系统，这可能会带来兼容性问题和漏洞。此外，这造成了最新技术与实践之间的差距，最新的研究和创新可能并不容易获得或不适用于现实世界的情况。

生成式人工智能 + 标准 = 积极成果

虽然生成式人工智能有可能大幅改善网络安全结果，但它本身并不是万能药。生成式人工智能和标准化工作必须共同努力，以实现最佳的网络安全结果：由开放的工具生态系统驱动，全面协调地防御网络攻击。人工智能用例可以从标准中受益匪浅，因为标准通过提供通用的术语、协议、格式和接口，促进了生成式人工智能与现有网络安全产品和系统的集成和协调。如果没有这样的标准，从生成式人工智能工具中提取最佳价值将是一项艰巨的任务。